对抗性示例对人脸识别系统的攻击性研究

对抗图像翻译：人脸识别系统Kazuya Kakizaki1和Kosuke Yoshida11NEC公司日本东京都港区芝5丁目7-1邮编：108-8001dep58@nec.comkazuya1210@nec.com摘要由于深度神经网络（DNN）的最新进展，人脸识别系统在对大量人脸图像进行分类时变得非常准确。然而，最近的研究发现，DNN可能容易受到对抗性示例的影响，这引发了人们对此类系统鲁棒性的担忧不限于小扰动的对抗性例子可能更严重，因为传统的认证防御可能对它们无效为了揭示这种对抗性示例的脆弱性，我们提出了一种灵活有效的方法，用于使用图像翻译技术生成不受限制的我们的方法使我们能够将源图像转换成任何期望的面部外观与大的扰动欺骗目标人脸识别系统。我们的实验结果表明，我们的方法分别在白盒和黑盒设置下实现了约90%和80%的攻击成功率，并且翻译的图像在感知上是真实的，并且保持了个体的可识别性，同时扰动足够大以绕过认证的防御。介绍深度神经网络（DNN）在图像分类（Krizhevsky，Sutskever和Hinton 2012）和机器翻译（Bahdanau，Cho和Bengio 2014）方面变得比人类然而，最近的研究 表明 ，DNN可 能容 易受 到 对抗 性 示例 的影 响（ Szegedy et al. 2014; Goodfellow ， Shlens ， andSzegedy 2015; Carlini and Wagner 2017）。具体来说，DNN可能会被稍微修改过的输入数据点故意欺骗为了理解这种漏洞的机制并使DNN更加强大，研究生成对抗性示例的方法非常重要对抗性示例的脆弱性引发了人们对广泛用于生物特征认证和公共安全等应用的人脸识别系统的担忧（Masi et al. 2018）。由于最近人脸识别系统的成功依赖于DNN，因此潜在的攻击者可以利用敌对示例进行错误识别或冒充另一个人。因此，重要的是要考虑对抗性样本攻击人脸识别系统的风险。两位作者贡献相等(a)（b）敌对（c）目标图1：对抗人脸识别系统的对抗性图像翻译我们的方法将（a）原始图像转换为(b) 具有期望的域标签的对抗图像，以将它们分类为（c）目标图像。对应的领域标签从上到下依次是金发、化妆和眼镜。用于创建欺骗目标分类器的对抗性示例的典型方法 涉 及 在 源 图 像 上 添 加 小 的 精 心 制 作 的 扰 动（Szegedy et al.2014; Goodfellow，Shlens，and Szegedy2015; Carlini and Wagner 2017）。为了降低基于小扰动的对抗性示例的风险，已经提出了几种防御方法并 进行 了理 论 验证 。 这些 防 御基 于DNN 的 全局Lipschitz 常 数 （ Cisse et al. 2017; Gouk et al. 2018;Tsuzuku，Sato和Sugiyama 2018）和随机平滑（Li et al.2018; Cohen ， Rosenfeld 和 Kolter 2019; Lecuyer et al.2019）提供了类变化扰动的下限。这些研究表明，基于小扰动的攻击可能不再对这些防御有效。尽管有这些经过认证的辩护，但仍然存在对抗性例子的重大风险。Song et al.和Brown et al.独立地引入了一个新的概 念，称为不受限制 的对抗性示例（Song et al.2018; Brown et al. 2018）。虽然这种对抗性的例子并不局限于小扰动，但它们不会使人类观察者感到困惑。例如，停车标志的图像仍然被识别为版权所有© 2020本文由其作者。在知识共享许可署名4.0国际（CC BY 4.0）下允许使用。停止由人类观察员签名，尽管对抗性扰动足够大以绕过认证的防御。这些对抗性的例子可能是一个严重的安全问题，并揭示了这种类型的漏洞的机制。在人脸识别系统的背景下，我们如何在合理的场景中定义不受限制的对抗性样本？空间变换，如对抗性旋 转 （ Brown et al. 2018 ） 和 扭 曲 （ Goswami et al.2018），对于针对人脸识别系统的攻击是不切实际的，因为对手无法控制生物特征认证和公共监控中的空间变换（例如，旋转图像不能在护照控制场景中呈现）。因此，我们专注于没有空间变换的无限制对抗性示例我们考虑以下条件：我们的对抗性示例（1）应该在感知上足够真实，原始图像中的个体的可识别性，以及（2）具有足够大的扰动以绕过基于小扰动的防御。为了生成满足这两个条件的不受限制的对抗性示例，我们提出了一种方法，该方法利用了最近的图像翻译技术到不同的领域（Choi et al.2018年）。我们的方法使我们能够将源图像中的面部外观翻译成几个域，以便面部识别系统可以被欺骗。虽然平移在面部上提供了可感知的扰动，但它避免了损害人类观察者对源的个体的可识别性。图1说明了我们的方法的流程：（a）原始图像被转换为（b）对抗图像，其中涉及要被分类为（c）目标图像的几个域从上到下，我们翻译成三个不同的do-main标签：金发，化妆，和眼镜。他们表明，改变头发颜色和添加面部配件，如化妆和眼镜，欺骗面部识别系统。以这种方式将给定图像转换为任何期望的面部外观使我们能够评估各种不受限制的对抗性示例的风险。在我们的实验中，我们发现我们的方法在VGGFace及其最新版本VGGFace2中的可用人脸识别模型上平均达到了约90%我们的方法还可以生成具有所需面部外观的逼真对抗图像，即使在大的扰动下也能保持个体的可识别性。我们将我们的方法应用于黑盒设置，并基于可转移现象和动态蒸馏策略评估黑盒攻击（Szegedy et al. 2014; Xiao etal.2018年）。我们的贡献如下。• 我们提出了一种灵活而有效的方法，用于生成针对人脸识别系统的无限制对抗性示例• 我们确认生成的对抗性示例在感知上足够真实，可以保持个体的可识别性，以避免混淆人类观察者。• 我们的实验表明，我们的方法可以检测到的人脸识别系统在白盒和黑盒设置下的高攻击成功率。• 我们确认生成的对抗性示例绕过了最先进的认证防御。本文的组织结构如下。在第二节中，我们回顾了人脸识别系统中基于生成对抗网络（GANs）和对抗样本的在第3节中，我们提供了我们提出的方法的细节。在第4节中，我们报告了实验的设置和结果我们在第5节结束本文相关研究在本节中，我们回顾了几项关于无限制对抗性示例、GAN和对抗性面部附件的相关研究。无限制对抗示例Song等人提出了一种从头开始生成不受限制的对抗性示例的方法，而不是在源图像上添加小扰动，并证明他们生成的示例成功绕过了几种基于小扰动的认证防御（Song et al. 2018）。他们采用了两个分类器：一个是他们希望欺骗的目标分类器，另一个是提供正确预测的辅助分类器这些分类器鼓励从头开始生成的示例在不改变任何语义的情况下欺骗目标分类器。他们证实，他们的方法成功地创建了不受限制的对抗性示例，而不会使用Amazon Mechanical Turk（AMTurk）混淆人类观察者。虽然他们的工作是值得注意的，但需要更多的努力来欺骗人脸识别系统。生成对抗网络（GANs）GAN已经取得了显著的成果，特别是在图像生成任务中 （ Goodfellow et al.2014; Karras等 人 2018; Karras ，Laine和Aila 2018）。它们由两个部件组成：发电机和整流器。生成器被训练为提供无法被伪图像与真实图像区分开的伪图像，而伪图像被训练为区分伪图像与真实图像。这种竞争性的设置由对抗性损失表示。Xiao等人提出了一种利用GAN生成逼真对抗图像的方法（Xiao et al.2018年）。通过他们的方法，生成器经过训练，可以提供与识别器无法区分的真实图像。他们证明了他们生成的对抗性示例通过人类评估在感知上是真实的。生成器还有效地提供了adversar- ial的例子，一旦它被训练。这可能有利于潜在地提高目标模型的鲁棒性。Choi等人介绍了一个名为StarGAN的框架，该框架使我们能够使用GAN将输入图像转换为多个除了传统的GAN之外，他们还引入了两个损失函数：辅助分类损失和重建损失。第一种是保证输出图像可以被分类到相应的域标签中（Odena，Olah和Shlens 2017）。第二种方法是将输入图像的内容保留在翻译图像中作为循环一致性损失（Zhu笔x xqSQ2等人，2017），因为StarGAN制剂仅由单个发生器组成。他们证明了StarGAN在以灵活的方式将面部图像转换为任何所需的域或面部表情方面是欺骗性的人脸识别系统一些研究通过添加对抗性面部配件和欺骗性面部识别系统来修改源图像的面部外观，以达到模仿或保护隐私 的 目 的 （ Sharif et al. 2016; 2017; Feng andPrabhakaran 2013）。例如，Sharif et al.通过迭代更新它们的颜色来创建这些眼镜允许对手模仿另一个人，在几个最先进的面部识别系统中具有很高的成功率虽然这些研究证明了对抗性示例的显著风险，但它们在理解这种脆弱性的机制方面的可扩展性有限。我们利用最近关于GAN图像翻译的研究，以对抗的方式翻译源图像的面部外观。这种翻译在源图像上引入了大的扰动;因此，翻译后的图像是针对面部识别系统的不受限制的对抗性示例。我们的方法我们首先为我们的方法提供问题定义和符号，然后介绍我们的公式来翻译头发期望的域标签c_out作为输入，并生成域标签为c_out，G：x，c_out→x_out的输出图像x_out。Ds表示x∈N，并给出了信源的概率分布Ds（x∈ N）。这些组件的目标是优化定义为Lgan=Ex[logDs（x）]+Ex[log（1-Ds（G（x，cout）]，（1）其中G试图最小化损失，而D试图最大化损失以生成逼真的图像。为了利用最新的技术来稳定GAN训练，我们采用了Wasserstein GAN和梯度惩罚（Gulrajani et al. 2017），定义为Lwgan= Ex[ Ds（ x）] + Ex[（1− Ds（ G（ x，cout）]−λwganLpen，（2）其中λwgan表示控制惩罚项Lpen的大小的超参数。为了强制执行Lips-chitz常数，惩罚项被定义为L=E[（D（x）−1）2]，（3）其中xq沿着真实图像和生成图像之间的直线均匀采样。我们将λwgan设置为10。为了鼓励生成的图像具有所需的域标签c，我们采用了辅助分类损失（Odena，Olah和Shlens 2017）。具体来说，我们通过最小化损失来优化Dc，以将真实图像分类为相应的域标签，其定义为颜色，化妆和眼镜的人的面部图像，使目标人脸识别模型可以欺骗，R类 =Ex，cin[−log D c（c in|（x）]、（4）模仿他人问题定义给定一个实例（xi，yi，ci），该实例由一个按未知分布采样的人脸图像xi∈ X其中D c（c in|x）表示域标签上的概率分布，并且c in对应于输入的域标签。然后，我们优化G来分类生成的图像作为任何目标域标签通过最小化损失，这被定义为的人对应的类标签yi∈ Y，图像和域标记c i，域标记ci表示f级 =Ex，c出来[−log D c（c out|G（x，cout））]。（五）每个二进制域。这里，c，i是二进制向量，当对应图像呈现第j个二进制域时，其第j个分量为1目标人脸识别模型学习采用了一种常见的意象翻译方法为了保持个体的可识别性（Zhu等人，2017），我们添加了重建损失，其定义为分类器φ：X → Y，其将类别标签分配到每个面部图像中。我们的目标是生成对抗性示例Lrec =Ex，cout，cin[X-G（G（x，c出来），cin）[1]。（六）xi被分类为φ（xi）=t（tyi），其中t是我们的ta rget类标签。此外，x {\displaystylex {\displaystylex}}i应该具有所需的域标签。制剂注意，我们采用L1范数来获得更少的模糊图像。我们添加损失以鼓励目标模型φ将生成的图像分类为目标标签t。这种损失被定义为Ltar=Ex[max（maxzi（x）−zt（x），κ）]，（7）我们的方法主要基于最近的GAN框架， 不它由四个部分组成：生成器G、鉴别器Ds、辅助分类器Dc和目标模型φ。G通过优化对抗损失Lwgan来提供对于D不可区分的图像。通过最小化类，使生成的图像具有任何期望的域标签LLCLACLA其中z是φ的输出，除了最后的softmax层（即logits），κ是我们实验中设置为负值的超参数。最后，我们的完整损失函数定义为：气化损失Lrf级.目标损失Ltar最小化LG=Lwgan +λαf级 +λβ Lrec +λγ L焦油，（8）为了欺骗目标模型（即，人脸识别系统）通过模仿。LD= −Lwgan+λαLr、（九）采用自StarGAN（Choi et al.2018），我们训练一个G来将输入的人脸图像转换为具有任何所需域标签的输出图像。G取一张人脸图像x和a其中，我们通过分别最小化LG和LD来获得G、Ds和Dc注意λα、λβ和λγ是控制每个损失函数的相对重要性的超参数L表1：目标人脸识别模型在合法数据集上的准确性，使用保留用于测试的图像进行评估。我们的目标人脸识别模型在所有情况下都达到了很高的准确率VGG（A）和ResNet（A）：案例A的VGG 16和ResNet 50VGG（B）和ResNet（B）：VGG 16和ResNet 50用于案例B。StarGAN：无对抗效应的图像平移（λγ=0）。VGG（A）ResNet（A）VGG（B）ResNet（B）合法0.971.000.950.96StarGAN（Choi等人，2018年）0.850.930.730.75表2：平均、最大和最小攻击成功率。我们生成的对抗性示例针对两个具有不同域标签的模型平均实现了约90%头发颜色（黑色/金色）化妆眼镜VGGResNetVGGResNetVGGResNet一B一B一B一B一B一BAve.0.850.980.950.960.830.980.940.960.830.960.930.86最大0.950.991.000.980.900.991.000.980.940.981.000.97分钟0.700.970.750.920.650.960.660.940.740.940.780.50实验结果我们首先证明了我们的方法实现了超过90%的攻击成功率对两个目标模型在白盒设置与高质量的图像。然后，我们评估了黑盒攻击的基础上的可转移性现象对抗性示例（Szegedy et al. 2014; Goodfellow，Shlens，and Szegedy 2015; Papernot et al. 2016）和动态蒸馏策略（Xiao et al. 2018）。最后，我们证明了用我们的方法获得的对抗性示例满足两个条件：（1）它们足够真实，可以保持个体的可识别性;（2）具有很大的扰动，可以绕过经过认证的防御。数据集我们使用了CelebA数据集，该数据集有202，599张具有40个二进制属性的人脸图像（Liu et al.2015年）。为了训练目标人脸识别模型，我们随机选择10人作为案例A，100人作为案例B。我们每人只使用了20张图片作为训练数据集，其余的将图像保留在一边用于测试数据集。目标人脸识别模型我 们 的 目 标 人 脸 识 别 模 型 是 VGGFace （ Parkhi ，Vedaldi，and Zisserman 2015）和VGGFace2（Cao et al.2018 ） 。 我 们 为 VGGFace 下 载 了 可 用 的 预 训 练VGG161，为VGGFace2下载了ResNet502。这些预先训练的模型展示了面部识别任务的最新结果。他们以224x224的人脸图像作为输入，并提供一个低维的人脸描述符，其中同一个人的两个图像被设计为彼此更接近。在预先训练的人脸描述符之上，我们构建了一个完全连接的层，以使用CelebA数据集定义我们自己的目标人脸识别模型。我们使用分类函数第1页https://github.com/yzhang559/vgg-face2https://github.com/rcmalli/keras-vggface与训练数据集的交叉熵损失。我们的微调模型在测试数据集上实现了超过95%的准确率，如表1所示该表还显示了在没有任何对抗效应的情况下转换图像的测试准确度：其中等式（8）中λγ=0，表明模型对StarGAN中简单更改域标签具有实现细节我们从图像翻译研究中采用了类似的架构（Zhu et al.2017; Choi et al. 2018）。尤其是-最大的，我们构造了两个下采样块，六个残差块和两个上采样块，G具有整流线性单元（ReLU）层，G具有泄漏ReLU和全连接块的五个下采样块。D. 我们应用PatchGAN（Isola et al.2017年），建设D.根据以前的研究。我们使用Adam训练两个模型，β1= 0。β2= 0。九九九学习率线性下降（Choi et al.2018），并且在所有实验中将批量设置为32对于L G和L D，我们使用λ α=1，λ β=10，κ=−0。3为L焦油。 对于情况A和B，我们将λ γ设为0。2和0。5和时期数分别为300，000和500，000白盒设置我们首先在白盒设置下评估了我们的方法，在白盒设置中，对手可以访问模型架构及其权重。由于我们选择了所有的个体作为模拟的目标，我们评估了10个不同的G和D的情况A.对于案例B，我们从100个个体中随机选择5个作为模仿的目标。我们对攻击成功率的评估涉及使用测试数据集，而不是对我们的模型进行训练以进行公平评估。理论上，我们可以应用CelebA数据集中可用的40种类型的域标签。然而，我们只应用了三个域标签：头发颜色（黑色/金色）、浓妆和眼镜，因为我们的目标是在实际场景中有效地生成攻击面部的图像识 别 系 统 （ Sharif et al. 2016; 2017; Feng andPrabhakaran 2013）。我们报告了这两种情况下不同模型之间的平均、最大和最小攻击成功率。表2显示，我们的方法在模型和域标签中都实现了高攻击成功率。从表2中的性能结果可以看出，大约90%的测试图像可以成功欺骗我们的目标面部识别通过改变他们的面部外观来做模特。图3展示了成功的对抗性示例。左列显示原始图像，中间的列显示带有几个域标签的对抗性示例：金发/黑发，化妆和从上到下的头发。我们试图模拟的目标图像显示在右列中。这些图像表明，我们的方法准确地将源图像转换为多个域，使目标人脸识别模型被提取。此外，所引入的扰动对于人类观察者是可感知的，同时避免了源图像中的个体的可识别性的损害。黑盒设置由于大多数人脸识别系统不允许任何人获得有关其网络架构和权重的知识，因此分析黑盒设置中的漏洞非常重要。我们探索了基于可转移性现象的攻击策略，其中模型中生成的对抗性示例也会导致对其他模型的成功攻击（Szegedy et al. 2014; Goodfellow，Shlens，and Szegedy 2015; Papernot et al. 2016）。我们使用一种目标人脸识别模型生成对抗图像，并评估了针对另一种模型的攻击成功率表3列出了基于可转移性的攻击的结果，表4显示，通过动态蒸馏，我们的方法在200，000个epoch的情况下，平均对 VGG16的攻击成功率超过80%，对ResNet50的攻击成功率约为70%。这些结果表明，动态蒸馏策略是有益的，我们的方法在黑箱设置。注意，由于时间限制，我们仅讨论情况B的动态蒸馏的评估。人类感知研究我们使用AMTurk评估了用我们的方法生成的图像的质量，以确认图像满足条件（1）：它们应该在感知上足够真实，以保持个人作为原始图像的可识别性。我们选取了100对原始图像和反面图像，并向工作人员提出了这样一个问题：这两个图像是否具有相同的个人身份？请注意，我们将每一组分配给五个不同的工人进行公平比较。这个问题，76。6%的员工回答说，原始图像和对抗图像中的个人身份是相同的。这一结果表明，我们的方法成功地翻译图像，同时保持个人的可识别性，以避免混淆人类观察者。扰动与认证半径的比较为了满足条件（2）：我们的对抗性示例具有足够大的扰动以绕过基于小扰动的防御，我们评估了具有随机平滑的最这种防御提供了认证区域，其中分类器在每个数据点周围具有恒定的输出。Setup.我们构造了平滑的目标人脸识别模型φφ，当x被扰动时，它返回最相似的类如下所示在两个目标人脸识别模型之间：VGG16和ResNet50. 我们发现大约30%的攻击转移到φ=argmaxy∈Y P（φ（x+φ）=y），（11）从VGG16到ResNet50，反之亦然。这些结果-指出，即使没有任何关于模型的知识，可用的人脸识别系统也容易受到简单的基于可转移性的攻击我们还基于黑盒环境中的动态蒸馏策略评估了我们的方法（Xiao等人，2018）。这使我们能够获得一个行为类似于黑盒模型的蒸馏模型正如之前的研究中所描述的，我们在每次迭代中重复以下两个步骤。第一步用一个固定的G更新提取的模型和D通过最小化以下目标：其中，λ是具有标准偏差σ的高斯噪声，φ是用高斯数据扩充训练的基础分类器（Lecuyer et al. 2019年）。为了计算认证区域，我们使用Cohen方法，其中n 0= 100，n = 1000，α = 0。001（Co- hen，Rosenfeld和Kolter 2019）。每个认证区域由其半径表示球以每个图像为中心与半径是保证有恒定的输出内球。我 们 使 用 经 过 高 斯 数 据 增 强 训 练 的 VGG16 和ResNet50作为案例A的基础分类器的Ex[H（φ（x），b（x））]+Ex[H（φ）（G（x，c出来）），b（G（x，c出来））]将模型设置为可获得的预先训练的参数作为初始参数，并使用随机梯度进行训练（十）其中，H表示交叉entrop y损失，并且φn（x）和b（x）分别表示蒸馏模型和黑盒模型的输出这一步鼓励提取模型的行为与生成的目标黑盒模型相似敌对的例子。第二步使用等式（8）和（9）用φ更新G和D在这一步中，我们可以在提取模型上使用我们的方法，如白盒设置中所述。有1000个epochs。我们将学习率和动量设置为0。0001和0。9，分别。结果.图2显示了我们的平滑目标人脸识别模型的认证精度，半径阈值为老T认证准确度表示正确分类的图像的比例，并且其认证半径对于所有图像小于T在VGG16（左）和ResNet50（右）中，所有认证半径均小于630。我们计算了我们的方法在L2中的平均扰动。平均表3：两个目标人脸识别模型之间基于可转移性攻击的平均攻击成功率。大约30%从VGG16转移到ResNet50的攻击，反之亦然。模型域VGG（A/B）ResNet（A/B）VGG（A/B）发色-0.26/0.28化妆-0.22/0.33眼镜-0.27/0.36ResNet（A/B）发色0.35/0.32-化妆0.29/0.30-眼镜0.22/0.38-VGG（A）ResNet（A）图2：VGG（A）（左）和ResNet（A）（右）的认证精度和半径阈值T。水平轴表示T，垂直轴表示认证准确度：正确分类且认证半径小于T的图像比例。在这两种设置中，σ分别=125和255，并且认证半径远小于用我们的方法引入的扰动。表4：基于动态蒸馏的攻击域VGG（B）ResNet（B）发色0.890.73化妆0.820.69眼镜0.840.71VGGFace（A）的扰动分别为14，739，461，290，430和3，589，136。ResNet（A）的平均扰动分别为头发颜色、化妆和眼镜的15，342，461，290，700和3，589，382。注意所有像素都有值范围从0到255。我们证实，用我们的方法生成的所有图像都提供了比认证半径更大的扰动这些结果表明，最先进的认证防御可能不足以我们的方法。这并不意味着认证防御被打破，因为威胁模型与我们的不同。结论我们提出了一种方法，用于生成针对人脸识别系统的非限制性该方法将源图像的面部外观转换为多个域来欺骗目标人脸识别系统。通过实验，我们证明了我们的方法实现了约90%的攻击成功率在白盒设置方面的几个领域：头发颜色，化妆，和眼镜。我们还使用对抗性示例的可转移性和动态蒸馏策略在黑盒设置中评估了我们的方法，分别获得了30%和80%我们还证明了我们的方法引入的扰动足够大，可以绕过最先进的认证防御，而transla-防止了对人类观察者的源图像的我们的结论是，我们的方法是有前途的，以提高人脸识别系统的鲁棒性。引用Bahdanau，D.;周，K.;和Bengio，Y. 2014.神经机器翻译通 过 共 同 学 习 对 齐 和 翻 译 。 Arxiv 预 印 本 Arxiv ：1409.0473.布 朗 ， T.B. 人 ; Carlini ， N.;Zhang ， C.;Olsson ，C.;Christiano，P.; Goodfellow，I。2018.无限制的对抗性示例。arXiv预印本arXiv：1809.08352。曹，Q.;沈，L.;谢，W.;帕尔希岛M.; 和Zisserman，A.2018. Vggface2：一个用于跨姿势和年龄识别人脸的数据集在自动人脸和手势识别国际会议上。Carlini，N.，和Wagner，D. 2017. 为了评价图3：成功的对抗图像。左列显示原始图像，中间列显示成功的对抗示例。相应的目标个体呈现在右列中。目标域标签是头发颜色（黑色或金色），化妆和眼镜。引入的扰动是可察觉的，同时防止改变原来的身份。神 经 网 络 的 鲁 棒 性 IEEESymposium on Security andPrivacy，39崔，Y.;崔，M.;金，M.;哈，杰。-W的; Kim，S.;还有ChooJ. 2018年。Stargan：用于多域图像到图像翻译的统一生成对抗网络。计算机视觉和模式识别IEEE会议论文集，8789西塞，M.; Bojanowski，P.; Grave，E.; Dauphin，Y.;和Dannier，N. 2017. Parseval网络：提高对抗性示例的鲁棒性。第34届机器学习国际会议论文集-第70，854-863。JMLR。org.Cohen，J.M.; Rosenfeld，E.;和Kolter，J.Z. 2019年。通过随机平滑验证对抗鲁棒性。第36届机器学习国际会议 （ 36thInternationalConferenceonMachineLearning）冯，R.，和Prabhakaran，B. 2013.促进时尚伪装艺术。在第21届ACM国际多媒体会议论文集，793古 德 费 洛 岛 Pouget-Abadie ， J.; Mirza ， M.; 徐 ， B.;Warde-Farley，D.; Ozair，S.; Courville，A.;和Bengio，Y. 2014.生成对抗网。神经信息处理系统的进展，2672古德费洛岛Shlens，J.;和Szegedy，C. 2015.解释和利用对抗性的例子。在国际学习代表上。Goswami，G.;Ratha，N.;Agarwal，A.;辛格河;和瓦察，M. 2018年揭示基于深度学习的人脸识别对对抗性攻击的鲁棒性第32届AAAI人工智能。Gouk，H.;Frank，E.;Pfahringer，B.;Cree，M. 2018年通过强化lipschitz连续性实现神经网络的正则化。arXiv预印本arXiv：1804.04368。Gulrajani，I.; Ahmed，F.; Arjovsky，M.; Dumoulin，V.;和Courville，A. C. 2017.改进瓦瑟斯坦甘斯的训练。神经信息处理系统的进展，5767Isola，P.;朱，J. -Y的; 周，T.;和Efros，A.A. 2017年。使用条件对抗网络的图像到图像翻译。2017年IEEE计算机视觉与模式识别会议，5967Karras，T.; Aila，T.; Laine，S.;和Lehtinen，J. 2018.不断增长的甘斯提高质量，稳定性和变化。在国际会议上学习代表。Karras ， T.;Laine ， S.;和 Aila ， T.2018 年 A style-basedgeneratorarchitectureforgenerativeadversarialnetworks.arXiv预印本arXiv：1812.04948。Krizhevsky，A.; Sutskever，I.;和Hinton，G. E. 2012.使用深度卷积神经网络进行图像网分类。神经信息处理系统的进展，1097Lecuyer，M.;Atlidakis，V.;Geambasu，R.;Hsu，D.;还有詹娜S. 2019.对具有差异隐私的对抗性示例的认证鲁棒性。IEEESymposium on Security and Privacy，726李，B.; Chen，C.;王，W.;和Carin，L. 2018.二阶对抗攻击与可证明鲁棒性。arXiv预印本arXiv：1809.03113。刘志;罗，P.;王，X.;和Tang，X.2015年。在野外深度计算机视觉集。马西岛;吴，Y.; Hassner，T.; Natarajan，P. 2018. 深度人脸识别：一项调查。2018年第31届SIBGRAPI图形，图案和图像会议，471Odena，A.; Olah，C.; and Shlens，J. 2017.基于辅助分类器gans的条件图像合成。第34届机器学习国际会议论文集，2642-2651。Papernot，N.;McDaniel，P.;古德费洛岛Jha，S.;塞利克Z. B.人;和Swami，A. 2016.使用对抗性示例对深度学习系 统 进 行 实 际 黑 盒 攻 击 。 arXiv 预 印 本 arXiv ：1602.026971（2）：3。帕尔希岛M.; Vedaldi，A.;和Zisserman，A. 2015.深度面部识别英国机器视觉会议。Sharif，M.; Bhagavatula，S.; Bauer，L.; Reiter，M. K.2016.犯罪的证据：对最先进的人脸识别技术进行真实和隐秘的攻击。2016年ACM SIGSAC计算机和通信安全会议论文，1528Sharif，M.; Bhagavatula，S.; Bauer，L.; Reiter，M. K.2017.对抗生成网络：神经网络在最先进的人脸识别上的应用。arXiv预印本arXiv：1801.00349。宋，Y.; Shu，R.; Kushman，N.;和Ermon，S. 2018. 用生成模型构造无限制的对抗性例子。神经信息处理系统进展。8322-8333。Szegedy，C.;扎伦巴，W.; Sutskever，I.;布鲁纳，J.;Erhan，D.;古德费洛岛J.道：和Fergus，R. 2014.神经网络的有趣特性。在国际学习代表上。Tsuzuku，Y.;佐藤岛;和Sugiyama，M. 2018. Lipschitz-margin training：深度神经网络扰动不变性的可扩展认证神经信息处理系统进展。6542-6551肖，C.;李，B.;朱岩;他，W.;刘，M.;和Song，D.2018.用对抗网络生成对抗示例在第27届国际人工智能联合会议上，IJCAI-18，3905朱，J. - Y的;帕克，T.; Isola，P.;和Efros，A. A. 2017.使用周 期一致性 广告网络 的非配 对图像到 图像翻译IEEEInternational Conference on Computer Vision，2242